計(jì)算機(jī)病毒及其防范技術(shù)（第2版）第4章 傳統(tǒng)計(jì)算機(jī)病毒

第三章 計(jì)算機(jī)病毒結(jié)構(gòu)分析 上海交通大學(xué)信息安全工程學(xué)院 劉功申 信息安全工程學(xué)院 本章學(xué)習(xí)目標(biāo) 了解 掌握引導(dǎo)型病毒原理及實(shí)驗(yàn) 掌握 掌握 信息安全工程學(xué)院 總體概念 000多種 9主要是 E 632信息安全工程學(xué)院 章節(jié)主要內(nèi)容 一、引導(dǎo)型病毒編制原理及實(shí)驗(yàn) 二、 16位 三、 32位 信息安全工程學(xué)院 一、引導(dǎo)型病毒編制原理及實(shí)驗(yàn) 加電 始化 引導(dǎo)區(qū)、分 區(qū)表檢查 發(fā)現(xiàn)操作系統(tǒng) 執(zhí)行引導(dǎo)程序 信息安全工程學(xué)院 引導(dǎo)區(qū)病毒取得控制權(quán)的過程： 區(qū)表裝載 運(yùn)行 導(dǎo)程序 加載 載 1 正常的引導(dǎo)過程 引導(dǎo)型病毒 從軟盤加載 到內(nèi)存 尋找 導(dǎo)區(qū)的 位置 將引導(dǎo) 區(qū)移動(dòng)到別的 位置 病毒將自己寫入 原引導(dǎo)區(qū) 的位置 用被感染的軟盤啟動(dòng) 將病毒的引導(dǎo) 程序加載入內(nèi)存 運(yùn)行病毒 引導(dǎo)程序 病毒駐留 內(nèi)存 原引導(dǎo) 程序執(zhí)行并加 載系統(tǒng) 病毒在啟動(dòng)時(shí)獲得控制權(quán) 信息安全工程學(xué)院 引導(dǎo)區(qū)病毒實(shí)驗(yàn) 【 實(shí)驗(yàn)?zāi)康?】 通過實(shí)驗(yàn)，了解引導(dǎo)區(qū)病毒的感染對象和感染特征，重點(diǎn)學(xué)習(xí)引導(dǎo)病毒的感染機(jī)制和恢復(fù)感染染毒文件的方法，提高匯編語言的使用能力。 【 實(shí)驗(yàn)內(nèi)容 】 本實(shí)驗(yàn)需要完成的內(nèi)容如下： 引導(dǎo)階段病毒由軟盤感染硬盤實(shí)驗(yàn)。通過觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟學(xué)習(xí)病毒的感染機(jī)制；閱讀和分析病毒的代碼。 過觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟學(xué)習(xí)病毒的感染機(jī)制；閱讀和分析病毒的代碼。 信息安全工程學(xué)院 【 實(shí)驗(yàn)環(huán)境 】 實(shí)驗(yàn)素材 】 附書資源 信息安全工程學(xué)院 實(shí)驗(yàn)過程 第一步：環(huán)境安裝 安裝虛擬機(jī) 虛擬機(jī)環(huán)境內(nèi)安裝 裝步驟參考附書資源。 信息安全工程學(xué)院 第二步：軟盤感染硬盤 1、運(yùn)行虛擬機(jī)，檢查目前虛擬硬盤是否含有病毒。如圖表示沒有病毒正常啟動(dòng)硬盤的狀態(tài)。 2、 信息安全工程學(xué)院 3、將含有病毒的軟盤插入虛擬機(jī)引導(dǎo)，可以看到閃動(dòng)的字符 *_*，如左圖 4。按任意鍵進(jìn)入右圖畫面。 信息安全工程學(xué)院 第三步：驗(yàn)證硬盤已經(jīng)被感染 1、取出虛擬軟盤，通過硬盤引導(dǎo)，再次出現(xiàn)了病毒的畫面。 信息安全工程學(xué)院 2、按任意鍵后正常引導(dǎo)了 見，硬盤已經(jīng)被感染。 信息安全工程學(xué)院 第四步：硬盤感染軟盤 1、下載 且將它插入虛擬機(jī)，啟動(dòng)電腦，由于該盤為空，如圖顯示。 信息安全工程學(xué)院 2、取出虛擬軟盤，從硬盤啟動(dòng)，通過命令 : /能提示出錯(cuò)，這時(shí)只要按 圖所示。 信息安全工程學(xué)院 3、成功格式化后的結(jié)果如圖所示。 信息安全工程學(xué)院 4、不要取出虛擬軟盤，重新啟動(dòng)虛擬機(jī)，這時(shí)是從 以看到病毒的畫面，如左圖所示。按任意鍵進(jìn)入如右圖畫面?？梢姡《疽呀?jīng)成功由硬盤傳染給了軟盤。 信息安全工程學(xué)院 二、 16位 最簡單的可執(zhí)行文件就是 f 件。 4含 16位程序的二進(jìn)制代碼映像，沒有重定位信息。 就是說，為了運(yùn)行程序準(zhǔn)確的處理器指令和內(nèi)存中的數(shù)據(jù)， 統(tǒng)不需要作重定位工作。 信息安全工程學(xué)院 加載 為 4以 5,024（ 6456字節(jié)和用于一個(gè)起始堆棧的至少 256字節(jié)）。 如果 個(gè) 個(gè)起始堆棧分配足夠內(nèi)存，則分配嘗試失敗。 否則， 至所有保留內(nèi)存），即使4K。 在試圖運(yùn)行另一個(gè)程序或分配另外的內(nèi)存之前，大部分 分配內(nèi)存后， 56字節(jié)建立一個(gè) 序段前綴）。 信息安全工程學(xué)院 創(chuàng)建 移 100H）加載 置 著創(chuàng)建一個(gè)堆棧。 00序設(shè)計(jì)者必須保證 因?yàn)槌绦蚴窃谄?100此所有代碼和數(shù)據(jù)偏移也必須相對于 100H。匯編語言程序設(shè)計(jì)者可通過置程序的初值為100如，通過在源代碼的開始使用語句 00H）。 信息安全工程學(xué)院 偏移大小 長度（ 說 明 0000h 02 中斷 20H 0002h 02 以節(jié)計(jì)算的內(nèi)存大?。ɡ盟煽闯鍪欠窀腥疽龑?dǎo)型病毒） 0004h 01 保留 0005h 05 至 000 02 2H 入口 00 02 2H 入口 00 02 3H 入口 010h 02 3H 入口 012h 02 4H 入口 014h 02 4H 入口 016h 02 父進(jìn)程的 測知是否被跟蹤） 0018h 14 存放 20個(gè) 002 02 環(huán)境塊段地址（從中可獲知執(zhí)行的程序名） 002 04 存放用戶棧地址指針 0032h 1E 保留 0050h 03 1H / 0053h 02 保留 0055h 07 擴(kuò)展的 005 10 格式化的 06 10 格式化的 07 04 保留 0080h 80 命令行參數(shù)長度 0081h 127 命令行參數(shù) 信息安全工程學(xué)院 是 6位代碼，在這些代碼之前加了一個(gè)文件頭，文件頭中包括各種說明數(shù)據(jù)，例如，第一句可執(zhí)行代碼執(zhí)行指令時(shí)所需要的文件入口點(diǎn)、堆棧的位置、重定位表等。 裝載過程： 操作系統(tǒng)根據(jù)文件頭的信息將代碼部分裝入內(nèi)存， 然后根據(jù)重定位表修正代碼， 最后在設(shè)置好堆棧后從文件頭中指定的入口開始執(zhí)行。 信息安全工程學(xué)院 其它信息 重定位表的字節(jié)偏移量 重定位表 重定位表 可重定位程序映像 二進(jìn)制代碼 信息安全工程學(xué)院 / ; / 02H 最后扇區(qū)被使用的大小 ; / 06H 重定位項(xiàng)數(shù) ; / 0小所需內(nèi)存 ; / 0; / 12H 校驗(yàn)和 ; / 16H ; / 1; / 3; 信息安全工程學(xué)院 為了保持對 時(shí) 后才是可執(zhí)行文件的可執(zhí)行代碼。 把程序代碼、數(shù)據(jù)、資源隔離在不同的可加載區(qū)中；藉由符號輸入和輸出，實(shí)現(xiàn)所謂的運(yùn)行時(shí)動(dòng)態(tài)鏈接。 信息安全工程學(xué)院 16位的 取部分磁盤文件，并生成一個(gè)完全不同的數(shù)據(jù)結(jié)構(gòu)，在內(nèi)存中建立模塊。 當(dāng)代碼或數(shù)據(jù)需要裝入時(shí)，裝載程序必須從全局內(nèi)存中分配出一塊，查找原始數(shù)據(jù)在文件的位置，找到位置后再讀取原始的數(shù)據(jù)，最后再進(jìn)行一些修正。 每一個(gè) 16位的模塊（ 負(fù)責(zé)記住現(xiàn)在使用的所有段選擇符，該選擇符表示該段是否已經(jīng)被拋棄等信息。 信息安全工程學(xué)院 保留區(qū)域 信息塊 段表 資源表 駐留名表 模塊引用表 引入名字表 入口表 非駐留名表 代碼段和數(shù)據(jù)段 程序區(qū) 重定位表 信息安全工程學(xué)院 3 感染過程： 將開始的 3個(gè)字節(jié)保存在 將這 3個(gè)字節(jié)更改為 0 將病毒寫入原 在病毒的返回部分，將 3個(gè)字節(jié)改為 0前地址 毒代碼大小）的二進(jìn)制編碼，以便在執(zhí)行完病毒后轉(zhuǎn)向執(zhí)行原程序。 信息安全工程學(xué)院 ： 源代碼： 代碼示例講解 演示 信息安全工程學(xué)院 驗(yàn)二） 【 實(shí)驗(yàn)?zāi)康?】 掌握 【 實(shí)驗(yàn)平臺 】 信息安全工程學(xué)院 實(shí)驗(yàn)步驟 (1) 安裝虛擬機(jī) 裝步驟參考網(wǎng)上下載的實(shí)驗(yàn)配套資料“解壓縮目錄檔。 (2) 在虛擬機(jī)環(huán)境內(nèi)安裝 (3) 在 :后將 (4) 從附書資源“ 復(fù)制病毒程序 信息安全工程學(xué)院 (5) 編譯鏈接 成 (6) 編譯鏈接 成病毒程序 (7) 在 C: (8) 執(zhí)行 察未感染前的運(yùn)行結(jié)果。 (9) 執(zhí)行 (10) 執(zhí)行 信息安全工程學(xué)院 【 程序源碼 】 本實(shí)驗(yàn)以尾部感染 中待感染 毒源文件源代碼 信息安全工程學(xué)院 三、 32位操作系統(tǒng)病毒示例分析 從 信息安全工程學(xué)院 (1) 移植的執(zhí)行體） 是 它的一些特性繼承自 件格式。 可移植的執(zhí)行體意味著此文件格式是跨 使 何 當(dāng)然，移植到不同的 除 6位的 有 此，研究 信息安全工程學(xué)院 Z 式頭 PE 表 第 1個(gè)節(jié) 第 2個(gè)節(jié) n 第 信息安全工程學(xué)院 公開的 未公開的 技術(shù)包括： 信息安全工程學(xué)院 為什么需要重定位？ 正常程序的變量和函數(shù)的相對地址都是預(yù)先計(jì)算好的。 病毒是附加在宿主程序中的程序段，其問題在于：病毒變量和病毒函數(shù)的相對地址很難計(jì)算。 解決方法：動(dòng)態(tài)找一個(gè)參照點(diǎn)，然后再根據(jù)參照點(diǎn)的地址確定病毒函數(shù)和病毒變量的地址。 信息安全工程學(xué)院 參照量 + 變量 = 變量 信息安全工程學(xué)院 舉例介紹 ? F : B 信息安全工程學(xué)院 編譯文件 (假設(shè) ) 00401000 00000000 ) 00401004 0401009 00401009 5B ; 00401009 0040100A 8100401009 ; 0 00401010 8 00401000 ;00401000 ; 信息安全工程學(xué)院 如果被定位到 00801000處 00801000 00000000 ) 00801004 0801009 00801009 5B ; 00801009 0080100A 8100401009 ; 00400000 00801010 8 00401000 ;00801000 ;息安全工程學(xué)院 為什么要獲得 正常程序用引入表獲得 病毒只是一個(gè)依附在正常程序中的代碼段，沒有自己的引入表 思路：去動(dòng)態(tài)連接庫中尋找 找相應(yīng)連接庫(在執(zhí)行時(shí)的基地址。 尋找基地址的方法包括（以 信息安全工程學(xué)院 a） 利用程序的返回地址，在其附近搜索 應(yīng)用程序中用 回地址 用程序 序入口 S 應(yīng)用程序 信息安全工程學(xué)院 為什么能夠從 4內(nèi)存中得到 基地址呢？其實(shí)是這樣的， 一個(gè)非常特殊的特性：當(dāng)有別的程序調(diào)用它的時(shí)候，它的文件映象就會動(dòng)態(tài)地映射到調(diào)用進(jìn)程的內(nèi)存地址空間。一般情況下，一個(gè)程序在運(yùn)行的時(shí)候， 個(gè) 會被映射到該程序的內(nèi)存地址空間，成為它的一部分 這樣一來，我們就可以在宿主的內(nèi)存地址空間中搜索到 基地址了 . 信息安全工程學(xué)院 例子 4h ;這里的 4要看從程序第一條指令執(zhí)行到這里有多少 操作，如果設(shè)為 N個(gè) 這里的指令就是 *4h = 判斷是否 MZ 3 ;=否有 果有跳出循環(huán) 010000h ;分配粒度是 10000h， 0000000H 0如果上面沒有找到，則使用 把找到的 信息安全工程學(xué)院 b）對相應(yīng)操作系統(tǒng)分別給出固定的 對于不同的 至一些 8為 000為 77 7點(diǎn)是兼容性差 信息安全工程學(xué)院 得到了 們就可以在該模塊中搜索我們所需要的 對于給定的 以通過直接搜索 同樣我們也可以先搜索出 后利用這兩個(gè) 信息安全工程學(xué)院 件搜索 該函數(shù)根據(jù)文件名查找文件； 該函數(shù)根據(jù)調(diào)用 該函數(shù)用來關(guān)閉由 該結(jié)構(gòu)中存放著找到文件的詳細(xì)信息。 信息安全工程學(xué)院 a） 指定找到的目錄為當(dāng)前工作目錄 b） 開始搜索文件 (*.*) c） 該目錄搜索完畢？是則返回，否則繼續(xù) d） 找到文件還是目錄？是目錄則調(diào)用自身函數(shù) 則繼續(xù) e） 是文件，如符合感染條件，則調(diào)用感染模塊，否則繼續(xù) f） 搜索下一個(gè)文件 (轉(zhuǎn)到 信息安全工程學(xué)院 內(nèi)存映射文件提供了一組獨(dú)立的函數(shù)，這些函數(shù)使應(yīng)用程序能夠像訪問內(nèi)存一樣對磁盤上的文件進(jìn)行訪問。這組內(nèi)存映射文件函數(shù)將磁盤上的文件的全部或者部分映射到進(jìn)程虛擬地址空間的某個(gè)位置，以后對文件內(nèi)容的訪問就如同在該地址區(qū)域內(nèi)直接對內(nèi)存訪問一樣簡單。這樣，對文件中數(shù)據(jù)的操作便是直接對內(nèi)存進(jìn)行操作，大大地提高了訪問的速度，這對于計(jì)算機(jī)病毒來說，對減少資源占有是非常重要的。 信息安全工程學(xué)院 應(yīng)用步驟 a）調(diào)用 回文件句柄 b）調(diào)用 回內(nèi)存映射對象句柄 c）調(diào)用 般還要加上病毒體的大?。┯成涞絻?nèi)存中。得到指向映射到內(nèi)存的第一個(gè)字節(jié)的指針 ( d）用剛才得到的指針 e）調(diào)用 入?yún)?shù)是 f）調(diào)用 入?yún)?shù)是 g）調(diào)用 入?yún)?shù)是 信息安全工程學(xué)院 后，把病毒代碼和病毒執(zhí)行后返回宿主程序的代碼寫入新添加的節(jié)中，同時(shí)修改 使其指向新添加的病毒代碼入口。這樣，當(dāng)程序運(yùn)行時(shí)，首先執(zhí)行病毒代碼，當(dāng)病毒代碼執(zhí)行完成后才轉(zhuǎn)向執(zhí)行宿主程序。 信息安全工程學(xué)院 病毒感染其他文件的步驟 1判斷目標(biāo)文件開始的兩個(gè)字節(jié)是否為“ 2判斷 3判斷感染標(biāo)記，如果已被感染過則跳出繼續(xù)執(zhí)行宿主程序，否則繼續(xù)。 4獲得 據(jù)目錄）的個(gè)數(shù)，（每個(gè)數(shù)據(jù)目錄信息占 8個(gè)字節(jié)）。 5得到節(jié)表起始位置。 (數(shù)據(jù)目錄的偏移地址 +數(shù)據(jù)目錄占用的字節(jié)數(shù) =節(jié)表起始位置 ) 6得到節(jié)表的末尾偏移（緊接其后用于寫入一個(gè)新的病毒節(jié)信息） 節(jié)表起始位置 +節(jié)的個(gè)數(shù) *(每個(gè)節(jié)表占用的字節(jié)數(shù) 28H)=節(jié)表的末尾偏移。 信息安全工程學(xué)院 7開始寫入節(jié)表 a）寫入節(jié)名（ 8字節(jié)）。 b）寫入節(jié)的實(shí)際字節(jié)數(shù)（ 4字節(jié)）。 c）寫入新節(jié)在內(nèi)存中的開始偏移地址（ 4字節(jié)），同時(shí)可以計(jì)算出病毒入口位置。 上一個(gè)節(jié)在內(nèi)存中的開始偏移地址 +（上一個(gè)節(jié)的大小 /節(jié)對齊 +1） *節(jié)對齊 =本節(jié)在內(nèi)存中的開始偏移地址。 d）寫入本節(jié)（即病毒節(jié)）在文件中對齊后的大小。 e）寫入本節(jié)在文件中的開始位置。 上節(jié)在文件中的開始位置 +上節(jié)對齊后的大小 =本節(jié)（即病毒）在文件中的開始位置。 f）修改映像文件頭中的節(jié)表數(shù)目。 g）修改 程序入口點(diǎn)指向病毒入口位置），同時(shí)保存舊的 便返回宿主并繼續(xù)執(zhí)行。 h）更新 存中整個(gè) 原 毒節(jié)經(jīng)過內(nèi)存節(jié)對齊后的大小）。 i）寫入感染標(biāo)記（后面例子中是放在 j）在新添加的節(jié)中寫入病毒代碼。 病毒長度 病毒代碼位置（并不一定等于病毒執(zhí)行代碼開始位置） 病毒節(jié)寫入位置 k）將當(dāng)前文件位置設(shè)為文件末尾。 信息安全工程學(xué)院 毒演示 病毒示例代碼 信息安全工程學(xué)院 驗(yàn)三） 本實(shí)驗(yàn)是根據(jù) 過該實(shí)驗(yàn)，讀者可以了解 進(jìn)一步學(xué)習(xí) 【 實(shí)驗(yàn)?zāi)康?】 了解 【 實(shí)驗(yàn)環(huán)境 】 運(yùn)行環(huán)境： 000、 x、P。 編譯環(huán)境： 息安全工程學(xué)院 【 實(shí)驗(yàn)步驟 】 文件位置：附書資源目錄 使用編譯環(huán)境打開源代碼工程，編譯后可以生成可執(zhí)行文件 預(yù)備步驟：找任意一個(gè) 實(shí)驗(yàn)內(nèi)容：運(yùn)行 打開任一 擇不同的菜單，可以查看到 驗(yàn)具體步驟可以參考本教材 信息安全工程學(xué)院 看器演示 代碼級 信息安全工程學(xué)院 信息安全工程學(xué)院 信息安全工程學(xué)院 信息安全工程學(xué)院 信息安全工程學(xué)院 信息安全工程學(xué)院 32位文件型病毒實(shí)驗(yàn)（實(shí)驗(yàn)四） 本實(shí)驗(yàn)是根據(jù) 所以設(shè)計(jì)成原型病毒，是因?yàn)榭紤]到信息安全課程的特殊性。學(xué)習(xí)病毒原理的目的是為了更好地防治病毒，而不是教各位讀者編寫能運(yùn)行于實(shí)際環(huán)境的病毒。 【 實(shí)驗(yàn)?zāi)康?】 了解文件型病毒的基本制造原理。 了解病毒的感染、破壞機(jī)制，進(jìn)一步認(rèn)識病毒程序。 掌握文件型病毒的特征和內(nèi)在機(jī)制。 信息安全工程學(xué)院 【 實(shí)驗(yàn)環(huán)境 】 運(yùn)行環(huán)境 000、 x、 P。 【 實(shí)驗(yàn)步驟 】 文件位置：附書資源目錄 目錄中的 譯的病毒程序 )、軟件使用說明書 仔細(xì)閱讀 )、源代碼詳解 代碼部分加入了部分注釋 )以及 序源代碼 )。裝后的安裝目錄下的程序，用于測試病毒程序。 信息安全工程學(xué)院 預(yù)備步驟：將 如 D:壓完畢后，應(yīng)該在該目錄下有 后把 實(shí)驗(yàn)內(nèi)容：通過運(yùn)行病毒程序觀看各步的提示以了解病毒的內(nèi)在機(jī)制。詳細(xì)的演示步驟參見教學(xué) 信息安全工程學(xué)院 【 實(shí)驗(yàn)注意事項(xiàng) 】 本病毒程序用于實(shí)驗(yàn)?zāi)康?，請妥善使用?在測試病毒程序前，請先關(guān)閉殺毒軟件的自動(dòng)防護(hù)功能或直接關(guān)閉殺毒軟件。 本程序是在開發(fā)時(shí)面向?qū)嶒?yàn)演示用的，側(cè)重于演示和說明病毒的內(nèi)在原理，破壞功能有限；而且前流行的病毒破壞方式比較嚴(yán)重，而且發(fā)作方式非常隱蔽，千萬不要把其他病毒程序采用本例的方式來進(jìn)行直接運(yùn)行測試。 測試完畢后，請注意病毒程序的清除，以免誤操作破壞計(jì)算機(jī)上的其他程序。 信息安全工程學(xué)院 32位 病毒引導(dǎo)說明： 文件型病毒，沒有引導(dǎo)部分演示 病毒傳染說明： 傳染范圍： 傳染目標(biāo)：可執(zhí)行文件 (傳染過程：搜索目錄內(nèi)的可執(zhí)行文件，逐個(gè)感染 病毒觸發(fā)說明： 觸發(fā)條件：運(yùn)行 信息安全工程學(xué)院 文件型病毒功能說明 : 病毒破壞說明： 破壞能力：無害型 傳染時(shí)減少磁盤的可用空間，在可執(zhí)行文件上附加一個(gè)節(jié) (4K) 破壞方式：攻擊文件 在可執(zhí)行文件上附加一個(gè)節(jié) (4K)，修改可執(zhí)行文件的入口地址 破壞范圍： 病毒查殺說明： 病毒危害等級：低，屬于無害型病毒 病毒特征類型： 是 病毒查殺方法：刪除所有被感染的文件 信息安全工程學(xué)院 步驟 0(預(yù)備 )： 當(dāng)防病毒程序如 ：此處的測試應(yīng)以當(dāng)前測試機(jī)器上安裝殺毒軟件為準(zhǔn)，本示例運(yùn)行時(shí)機(jī)器上安裝的只有 以此為參照 )自動(dòng)防護(hù)功能打開 時(shí)，鼠標(biāo)光標(biāo)位于病毒程序上時(shí)，會看到如下的圖例： 圖例 0 圖解說明：注解 0解 0 演示說明：作為自己開發(fā)的病毒程序，為了能夠更好的演示病毒的特征，在開發(fā)過程中我們沒有采用病毒的保護(hù)機(jī)制，故而防病毒軟件根據(jù)病毒程序的特征即可給出該程序?yàn)椴《境绦虻膱?bào)警提示。 信息安全工程學(xué)院 步驟 1(運(yùn)行預(yù)備 )： 關(guān)閉防病毒軟件的自動(dòng)防護(hù)功能，點(diǎn)擊病毒程序 行該程序，參見下圖： 圖例 1 圖解說明：注解 1解 1實(shí)驗(yàn)為了能夠比較直觀演示病毒程序，讓用戶知道正在運(yùn)行某個(gè)程序，故而有此主界面；但實(shí)際的病毒在感染其他程序前不會讓用戶感覺到病毒程序正在運(yùn)行的，往往都是隱藏運(yùn)行，或者是寄生在宿主程序中，這方面可參照病毒的引導(dǎo)機(jī)制的介紹。 演示說明：詳見備注 信息安全工程學(xué)院 提示用戶是否觀看感染過程，如下圖： 圖例 2 圖解說明：注解 2擇“是”觀看感染過程，選擇“否”運(yùn)行原程序，由于該病毒程序不具有其他功能，所以選“否”時(shí)就直接關(guān)閉程序。 演示說明：該文件型病毒側(cè)重于病毒感染過程的演示，所以在感染部分的提示比較詳細(xì)。 步驟 2 信息安全工程學(xué)院 步驟 3： 開始感染提示，如下圖： 圖例 3 圖解說明：注解 3 演示說明：無 信息安全工程學(xué)院 步驟 4： 提示病毒感染范圍，如下圖： 圖例 4 圖解說明：注解 4 演示說明：為了減少病毒破壞的范圍，在編寫該病毒程序時(shí)，限定其感染范圍為目錄內(nèi)感染，這也同時(shí)減少了病毒的破壞范圍；但就病毒特征而言，它還是很好的體現(xiàn)了病毒程序自我復(fù)制的這一特征。 信息安全工程學(xué)院 步驟 5： 提示當(dāng)前搜索到的合法的目標(biāo)程序，如下圖： 圖例 5 圖解說明：注解 5 演示說明：無 信息安全工程學(xué)院 步驟 6： 判斷目標(biāo)程序是否是合法的可感染的程序，如下圖： 圖例 6 圖解說明：注解 6 演示說明：對于文件型病毒傳染機(jī)理可參照病毒的傳染機(jī)制。 信息安全工程學(xué)院 步驟 7： 感染情況說明提示，如下圖： 圖例 7 圖解說明：注解 7 演示說明：K),被感染的宿主程序運(yùn)行時(shí)先跳轉(zhuǎn)到該節(jié)處，運(yùn)行感染代碼；感染結(jié)束后再返回宿主程序的入口地址執(zhí)行宿主程序。這也體現(xiàn)了本病毒程序的破壞方式，作為一個(gè)演示的病毒程序，破壞程度應(yīng)該在可控范圍內(nèi)，一些惡性的破壞方式可參照病毒的破壞機(jī)制說明。感染結(jié)果情況可參照 步驟 12的圖例，體參照 步驟18的圖例。 信息安全工程學(xué)院 步驟 8： 感染過程隱藏說明 (小技巧 )，如下圖： 圖例 8 圖解說明：注解 8 演示說明：此處加入該說明是也是為了說明是否存在病毒運(yùn)行的一種判斷思路，在手工查毒時(shí)有時(shí)就是依照該手段來判斷當(dāng)前機(jī)器是否有異常程序在運(yùn)行；如果機(jī)器沒有明顯的程序在運(yùn)行，而硬盤的指示燈一直閃爍，在高速運(yùn)轉(zhuǎn)著，則可粗略判斷機(jī)器有異常程序在運(yùn)行。防病毒的相關(guān)技術(shù)可參照防病毒基礎(chǔ)技術(shù)部分介紹。當(dāng)然對于病毒程序本身而言，為了避免被發(fā)現(xiàn)，就需要通過 信息安全工程學(xué)院 步驟 9： 提示是否觀看其他程序感染過程，如下圖： 圖例 9 圖解說明：注解 9 演示說明：無 信息安全工程學(xué)院 步驟 10： 病毒感染結(jié)束或用戶取消操作的提示，如下圖： 圖例 10 圖解說明：注解 10 演示說明：感染結(jié)束或用戶取消后就會運(yùn)行宿主程序。如果我們隱藏前面介紹的這些步驟的對話框和主界面，則給用戶的感覺就是運(yùn)行了一個(gè)正常的程序，只是程序啟動(dòng)運(yùn)行的時(shí)間相對慢了一點(diǎn)，這也就體現(xiàn)了病毒程序的潛伏性這一特征。 信息安全工程學(xué)院 步驟 11： 該圖例與步驟 6的圖例同步，該圖例是目標(biāo)程序不合法或已被感染后的提示，如下圖： 圖例 11 圖解說明：注解 11 演示說明：大部分的 ，在感染過程中對已感染的程序會進(jìn)行檢查是否已被感染，若已經(jīng)被感染則不再進(jìn)行感染：一可以提高病毒感染的效率，二可以防止多次感染使文件增大而引起用戶的察覺。 信息安全工程學(xué)院 步驟 12： 比較目標(biāo)程序感染前后的變化 (注要指程序大小 )，如下圖 (圖例 12；圖例 122B；圖例 122D)： 圖例 12 圖解說明：注解 1298 05,664 字節(jié) )；注解 02 09,760)。 信息安全工程學(xué)院 步驟 12： 比較目標(biāo)程序感染前后的變化 (注要指程序大小 )，如下圖 (圖例 12；圖例 122B；圖例 122D)： 圖例 12A 信息安全工程學(xué)院 步驟 12： 比較目標(biāo)程序感染前后的變化 (注要指程序大小 )，如下圖 (圖例 12；圖例 122B；圖例 122D)： 圖例 12B 圖解說明：圖例12A、 12B、 12C、 12E 照圖例 122解 個(gè)增加到 10個(gè)；注解 2程序大小的變化由00043000增加到00044000；注解 3是程序入口地址的變化由00043解 4是程序占用空間的變化由000